15,8 millions d'identifiants PayPal auraient été volés
Un pirate informatique prétend avoir mis la main sur 15,8 millions d'identifiants et mots de passe de comptes PayPal. La nature exacte de cette brèche demeure cependant nébuleuse. Fuite de données, usage d'un logiciel malveillant infostealer ou de la technique du credential stuffing, les experts ne s'entendent pas. Reste qu'il vaut mieux agir pour protéger ses accès.
C'est un cybercriminel à l'alias « Chucky_B » qui a mis le feu à l'internet en prétendant avoir volé 15,8 millions de comptes PayPal.
Ce dernier s'est tourné vers une plateforme en ligne pour les pirates informatiques pour annoncer le tout. Sans communiquer de prix pour sa prise, il vend au plus offrant la liste de tous ces comptes.
Selon ses dires, ces données proviendraient d'une fuite de données chez PayPal qui aurait eu lieu en mai 2025 avec des informations affichées en clair. Bref, des informations sans aucune protection.
De quoi soulever les sourcils de bien des experts en sécurité. Plusieurs doutent de la véracité de ses dires en soulevant qu'il serait hautement improbable que PayPal soit aussi peu rigoureux avec les données de ses utilisateurs.
C'est le cas notamment de Troy Hunt, le pirate blanc à l'origine du très pratique site Have I Been Pwned.
Ce dernier soupçonne davantage que ces données ont été collectées à l'aide d'un logiciel malveillant tel un infostealer ou bien via la technique du credential stuffing.
Un infostealer est un logiciel malveillant que l'on peut installer sur nos appareils et qui va intercepter les informations de connexion lorsqu'on se connecte sur un site ou une application.
Quant au credential stuffing, c'est une tactique consistant à se servir d'informations volées pour tenter de se connecter à d'autres comptes utilisant les mêmes identifiants et mots de passe.
Ces deux tactiques sont ainsi utilisées en combo. Les pirates utilisent les infostealer pour voler des identifiants de connexion, puis font ensuite du credential stuffing pour voir si les gens utilisent les mêmes accès sur d'autres comptes.
Comment bien protéger son compte PayPal?
Bien que PayPal a rapidement démenti être victime d'une fuite de données et que les experts en sécurité ne s'entendent pas sur la véracité des dires de ce pirate informatique, il reste qu'on est mieux de ne pas rester les bras croisés.
Changer son mot de passe
Par souci de vigilance, on a tout intérêt à aller modifier le mot de passe de notre compte PayPal.
Si les données ont effectivement fuitées, les personnes qui mettraient les mains sur nos informations de connexion se buteraient à un compte bloqué, puisqu'ils n'auraient pas le bon mot de passe.
Pour changer son mot de passe, il suffit de se connecter à son compte PayPal, d'aller dans les paramètres, puis dans l'onglet: Sécurité.
Il va de soi qu'on a intérêt à configurer un mot de passe fort et long de plusieurs caractères diversifiés.
Activer la double vérification
Toujours dans l'onglet: Sécurité, on peut y apercevoir l'option de vérification en 2 étapes.
Si ceci n'est pas activé, on a tout intérêt à le faire!
En utilisant une application de double authentification, on ajoute une importante barrière de sécurité.
Quand bien même qu'un pirate parviendrait à mettre la main sur notre mot de passe, celui-ci se buterait à cette deuxième barrière de sécurité alors qu'il doit avoir accès au code qui est généré sur notre téléphone.
Utiliser un gestionnaire de mots de passe
Si cette fuite de données provient d'une tactique comme le credential stuffing, ça met en lumière l'importance d'avoir des mots de passe diversifiés pour chacun de nos comptes.
Autrement, moindrement qu'un domino tombe, c'est toute la rangée qui tombe.
Le défi évidemment c'est de générer ainsi que de se souvenir d'autant de mots de passe...
C'est là qu'un bon gestionnaire de mots de passe nous est d'une aide précieuse en effectuant le tout et en n'ayant qu'un seul mot de passe à retenir.
Nos suggestions de gestionnaire de mots de passe
Se munir d'une solution de protection
On ne le répètera jamais assez, mais il est primordial de se munir d'une bonne solution de protection sur nos appareils (ordinateurs, tablettes, téléphones).
Les dangers sont tellement multiples sur le web et peuvent se propager de plusieurs façons. Il suffit d'un moment d'inattention ou que notre garde soit baissée pour qu'on tombe dans le panneau.
Avec un antivirus, on s'assure qu'aucune menace ne s'installera sur notre appareil et qu'elle ne volera pas nos accès et informations.
Faire attention aux courriels d'hameçonnage
Enfin, on doit rester alerte face aux tentatives d'hameçonnage.
Bien qu'on ait changé le mot de passe de notre compte PayPal, des pirates peuvent avoir mis la main sur notre adresse courriel.
Sachant qu'elle est reliée à un compte PayPal, ils vont certainement tenter de nous hameçonner avec de faux courriels à l'effigie de PayPal dans le but de nous faire cliquer sur un lien malveillant.
Il faut donc bien vérifier l’adresse courriel de l'expéditeur pour s'assurer qu'il s'agit ou non d'un vrai courriel de PayPal.
Un courriel envoyé par PayPal va toujours être envoyé par une adresse courriel se terminant par: @paypal.com ou @intl.paypal.com.
